Drupalの安全性

Drupalには、セキュリティに関するすばらしい実績があります。 また、潜在的なセキュリティ問題に関して調査・検証・公表のための体系だったプロセスにより管理が行われています。

Drupalのセキュリティチームは、セキュリティ問題が生じたときにすぐに対応できるように Drupal コミュニティと協力し、常に活動しています。詳細は、サイトのセキュリティを強化するためにを参照して下さい。

セキュリティチームのメンバーは、特に容易に見てわかるような脆弱性がある場合は、コアや寄贈プロジェクトのコードを解析することがありますが、一般的にはコアや寄贈プロジェクトのコードをレビューすることはありません。

Drupalを利用する全ての人は、セキュリティ・メーリングリストを購読し(drupal.org でアカウント・プロフィールを編集すると購読することが可能です。)、あらゆるタイプのセキュリティ勧告に関する最新情報を得られるようにしておく必要があります。

良くある質問

オープンソースのソフトウェアは安全ですか?

一言で言うと、「オープンソースソフトウェアは(ソースコードの閲覧が制限される)商用ソフトウェアと同等あるいはそれ以上に安全である。」と言えるでしょう。 この議論についてはIBM の以下の記事が参考になるでしょう:「The security implications of open source software」。 オープンソースを利用することでセキュリティの強化を図れることが、ホワイトハウスでDrupalを採用した理由のひとつとしてあげられています。

Drupalは一般的なセキュリティ脆弱性の問題にどのように対応していますか?

DrupalのAPIとデフォルトの設定は、デフォルトモードで使用すればセキュアになるように設計されています。 インジェクション、クロスサイトスクリプティング、セッション管理やクロスサイトリクエストフォージェリなどの全ての問題について、 Drupal APIには標準的なソリューションが備わっています。このトピックに関するより詳しいレビューは Drupalセキュリティレポートを参照してください。

なぜDrupalのセキュリティ勧告は他のプロジェクトよりも多い(あるいは少ない)のでしょうか?

営利上評価や認可が死活問題となるような企業が保持する商用のプロジェクトとは異なり、Drupalのようなコミュニティ主体のオープンソース・プロジェクトにおいて、潜在的な脆弱性であっても、セキュリティの脆弱性を隠すても何の得にもなりません。コミュニティがセキュリティに対して高い関心を持つことが、潜在的なセキュリティ問題に対する営利目的の透明性よりもはるかに重要なのです。

セキュリティ勧告の数は全く意味のない数字であり、比較に使うべきものではありません(特に寄贈プロジェクトを含む場合)。Drupalには 29,000 を越える寄贈プロジェクトがありますが、どのような潜在的な問題でも、ユーザによって隈なくチェックされおり、 比較的マイナーな問題であってもセキュリティ勧告が出されることもあります。詳細については、Security Risk Levelsを参照してください。

さらに、セキュリティ勧告は、潜在的な問題の発見と同時にすでに解決されていることを意味しています。セキュリティ勧告によりセキュリティ対策の実施完了がアナウンスされる前にセキュリティ・ホールが悪用されることは極めて稀なケースです。従って、最も重要な自衛策は、利用しているDrupalのコアや寄贈モジュールのコードに関するセキュリティ勧告が出されるたびにに常にDrupalを最新の状態にしておくということです。

稼働中のサイトで見つかったり悪用されたりした脆弱性にどのようなものがありますか?

Drupalサイトにおける専門のセキュリティ監査により、セキュリティホールの大部分(90% 以上)はサイト開発者が作成したカスタムテーマやカスタムモジュールにあるということを明らかにしました。 カスタムコードは、 drupal.org にある全てのコードと同等の精査を受けることはありません。

さらに、Drupal(特にコア)の脆弱性よりもサーバー・レベルの問題(FTP などのセキュアでないプロトコルの使用など)が、攻撃の成功を許してしまっている可能性が高いといえます。

セキュリティの扱い方に関する情報は Drupal 管理ガイドのSecuring Your Site を参照してください。

翻訳元URL:https://www.drupal.org/documentation/is-drupal-secure